Índice
¿Qué es el RGPD?
El Reglamento relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de esos datos, más conocido como «Reglamento general de protección de datos» (RGPD), fue votado por el Parlamento de la UE el 14 de abril de 2016, y entrará en vigor el 27 de abril de 2016 y fue aplicable en todos los Estados miembros a partir del 25 de mayo de 2018. La RGPD no es la primera legislación europea sobre protección de datos, en realidad sustituye y renovó la Directiva 95/46/CE sobre protección de datos. Su objetivo es seguir armonizando las leyes de protección de datos en toda Europa, reuniendo las normas o principios más respetados en todo el mundo y aplicándolos para proteger la privacidad de los datos de los ciudadanos de la UE.
El elemento especial del RGPD es su alcance extraterritorial. Desde mayo de 2018, la RGPD ha estado en vigor en los 28 Estados miembros de la Unión Europea y se aplica a todas las entidades jurídicas que:
- Procesan datos personales (por ejemplo, nombre, apellido, dirección de correo electrónico, número de teléfono, ubicación, dirección IP) en el contexto de las actividades de un establecimiento de un controlador o un encargado del tratamiento en la Unión Europea, independientemente de que el tratamiento tenga lugar o no en la Unión Europea.
- Ofrecer bienes o servicios, independientemente de que se requiera un pago del interesado, a dichos interesados en la Unión Europea.
- Vigilar el comportamiento de los interesados en la medida en que éste tenga lugar en la Unión Europea.
Por lo tanto, esto significa que la RGPD puede aplicarse también a las organizaciones que no tienen un establecimiento en la Unión Europea.
El incumplimiento de la RGPD puede dar lugar a fuertes multas; por ejemplo, en los casos de infracción de los principios básicos para el tratamiento de datos personales, multas de 20 millones de euros o del 4% del volumen de negocios anual mundial (el que sea mayor).
Principio de Responsabilidad (Accountability)
En la RGPD, hay referencias constantes que a la larga crean un marco de pleno cumplimiento que deben crear las organizaciones, según sus actividades y el tipo de prestación de servicios. El principio de rendición de cuentas exige a las organizaciones no sólo que cumplan con la RGPD, sino también que sean capaces de demostrarlo. Este principio exige que las organizaciones documenten y registren todos sus esfuerzos para cumplir con la legislación de protección de datos.
Principio de Transparencia
Este es un concepto que no ha cambiado desde la Directiva 95/46 pero que se ha enfatizado aún más en toda la RGPD. El principio de transparencia obliga a las organizaciones a ser transparentes en cuanto a los fines para los que procesan los datos personales, los medios con los que los recogen, el período de almacenamiento de estos datos y los destinatarios de los mismos. Además, cuando el consentimiento es el fundamento jurídico del tratamiento, todo lo que se acaba de mencionar debe comunicarse de forma clara e inequívoca a los interesados y las organizaciones deben tener pruebas de cuándo se recibió este consentimiento, cuando este consentimiento se recibió en virtud del principio de responsabilidad mencionado anteriormente. Por lo tanto, para poder cumplir con el principio de transparencia, una empresa debe tener una gran visibilidad de sus flujos de datos, y poder mostrarla al mundo exterior (tanto a los clientes, como a los complementos, y si es necesario a las autoridades de supervisión).
El RGPD y los estados miembros
Es importante señalar que la RGPD deja cierto margen de maniobra a los Estados miembros europeos en ámbitos específicos, para establecer nuevas garantías para su legislación nacional. Esto crea inevitablemente un proceso de armonización más complejo en el que los controladores y procesadores también tienen que comprobar su responsabilidad con respecto a la UE y a la legislación nacional. Como esperan los profesionales del derecho, las aplicaciones nacionales de la RGPD ayudarán aún más a definir las especificaciones de todas las derogaciones que permite la RGPD. Al mismo tiempo, esas derogaciones locales exigen mucha cautela a las empresas más pequeñas que puedan establecerse, que ofrezcan bienes o servicios, o que vigilen el comportamiento de los interesados en más de un Estado miembro europeo; ya que no sólo deben cumplir la RGPD sino también cada legislación nacional aplicable. Como consecuencia de ello, las empresas podrían encontrarse en una situación en la que los recursos son limitados, y la legislación ha evolucionado rápidamente de modo que la protección de los datos es un deber serio para cualquier empresa que almacene o procese datos personales, incluso ocasionalmente.
Por otra parte, las autoridades nacionales de protección de datos se han mostrado más activas a la hora de proporcionar a las organizaciones orientación sobre la forma de hacer frente a los requisitos y obligaciones que han surgido tanto de la UE como de las leyes nacionales. Las autoridades de protección de datos y la Junta Europea de Protección de Datos ayudan a transformar los complejos documentos jurídicos en instrumentos más completos y prácticos.
El panorama internacional del RGPD
Para complicar aún más las cosas, el alcance del RGPD se extiende más allá de las fronteras de la Unión Europea. Es fundamental mencionar que la cantidad y complejidad de la legislación internacional sobre protección de datos puede variar enormemente; cualquier país puede tener leyes nuevas, antiguas o inexistentes en relación con este campo. Teniendo en cuenta la posible disparidad que puede existir a nivel internacional, la RGPD ha creado un requisito según el cual, para que las transferencias de datos personales puedan tener lugar fuera de la Unión Europea, deben existir salvaguardias adecuadas para la protección de los datos personales. Una de las posibles formas de evaluar un nivel adecuado de protección en un país fuera de la Unión Europea es comprobar si ha habido una decisión de adecuación publicada por la Comisión Europea, que permita a los controladores y procesadores realizar transferencias legales.
Además, otro elemento crucial que amplía el impacto del RGPD a nivel internacional es su alcance extraterritorial. Más concretamente, el RGPD es aplicable a todas las entidades jurídicas que:
- Procesan datos personales (por ejemplo, nombre, apellido, dirección de correo electrónico, número de teléfono, ubicación, dirección IP) en el contexto de las actividades de un establecimiento de un controlador o un procesador en la Unión Europea, independientemente de que el procesamiento tenga lugar o no en la Unión Europea;
- Ofrecer bienes o servicios, independientemente de que se requiera un pago del interesado, a dichos interesados en la Unión Europea.
- Vigilar el comportamiento de los interesados en la medida en que éste tenga lugar en la Unión Europea.
Por lo tanto, esto significa que la RGPD se aplica también a las organizaciones que no tienen un establecimiento en la Unión Europea. Este alcance internacional ha generado otros desafíos, por ejemplo, cuando se trata de cuestiones jurisdiccionales relativas a los servicios en línea de empresas tecnológicas que violan la ley aplicable. Un ejemplo de esta incertidumbre es la multa administrativa de 50 millones de euros impuesta por la Autoridad Francesa de Protección de Datos a Google, que utilizó el razonamiento de que, dado que en el momento de la investigación Google Ireland Limited no era el controlador de las actividades de procesamiento de Google, permite que la Comisión Nacional de Informática y Libertades (CNIL) también emita una multa en lugar de tener un escenario en el que la Autoridad Irlandesa de Protección de Datos sea considerada como la «principal autoridad de supervisión».